◆彭永勇 何 林

?

便攜式身份認(rèn)證控制裝置（IAC）技術(shù)研究

◆彭永勇 何 林

(四川中電啟明星信息技術(shù)有限公司 四川 610225)

為了解決企業(yè)使用密碼登錄企業(yè)應(yīng)用帶來的不安全、繁瑣等問題，本文提出了無密登錄關(guān)鍵技術(shù)研究方案，通過便攜式身份認(rèn)證控制裝置（IAC）復(fù)合技術(shù)，讓用戶更簡(jiǎn)捷、安全、可信的使用企業(yè)應(yīng)用。

安全；指紋；強(qiáng)認(rèn)證；簡(jiǎn)捷

0 引言

隨著企業(yè)信息化和互聯(lián)網(wǎng)的高速發(fā)展，自然人越來越多的個(gè)人信息和敏感資料會(huì)被存儲(chǔ)在不同系統(tǒng)、尤其是互聯(lián)網(wǎng)應(yīng)用上，如果這些信息發(fā)生了泄露，就會(huì)對(duì)個(gè)人的財(cái)產(chǎn)、隱私信息造成鏈?zhǔn)奖┞?，?duì)自然人的正常工作、生活、甚至生命危險(xiǎn)等造成多方面影響和危害，信息安全事件頻繁。由此，現(xiàn)代社會(huì)對(duì)信息安全要求越來越高，信息安全已經(jīng)上升到國(guó)家層面，傳統(tǒng)的身份認(rèn)證識(shí)別方式須進(jìn)行變革創(chuàng)新。

通過分析，新身份認(rèn)證方式需滿足以下要求：

（1）認(rèn)證信息具有唯一性；

（2）認(rèn)證信息無法被復(fù)制或盜取；

（3）服務(wù)器保存的認(rèn)證信息安全不可被破解；

（4）簡(jiǎn)捷快速安全登錄；

（5）內(nèi)外網(wǎng)數(shù)據(jù)安全隔離。

基于以上問題，本文提出了一種基于非涉密登錄關(guān)鍵技術(shù)“便攜式身份認(rèn)證控制裝置（IAC）”復(fù)合技術(shù)，克服了現(xiàn)有技術(shù)的困難，避免通過使用賬號(hào)密碼這種傳統(tǒng)方法登錄帶來的問題，在使用過程中無需用戶輸入用戶賬號(hào)和密碼，通過指紋生物信息+U-KEY硬件，一鍵完成認(rèn)證登錄，更加快捷、安全的登錄企業(yè)應(yīng)用。

1 傳統(tǒng)登錄技術(shù)分析

目前比較傳統(tǒng)的登錄主要有賬號(hào)密碼登錄、動(dòng)態(tài)口令登錄、掃碼登錄，這幾種常見的登錄方式都各自存在弊端，具體原因分析如下：

1.1賬號(hào)密碼登錄

賬號(hào)密碼登錄是最常見、使用歷史最長(zhǎng)的登錄方式。其原理是為不同身份的登錄人分配不同的密碼和賬號(hào)。當(dāng)用戶輸入的賬號(hào)和密碼相匹配時(shí)，系統(tǒng)則認(rèn)為登錄人的身份合法。

1.2動(dòng)態(tài)口令登錄

手機(jī)動(dòng)態(tài)口令是一次性有效的密碼安全防護(hù)措施，利用手機(jī)作為隨機(jī)密碼生成或者接受終端，用戶在登錄應(yīng)用系統(tǒng)時(shí)候，輸入手機(jī)上的生成或者接收到的密碼不停變化的隨機(jī)密碼，提升了用戶身份認(rèn)證或者交易的安全，目前在網(wǎng)銀、第三方支付、證券、電信、電子政務(wù)、企業(yè)等領(lǐng)域使用。

1.3掃碼登錄

掃碼登錄是結(jié)合二維碼與二維碼掃碼終端進(jìn)行登錄的一種方式。一般用戶登錄系統(tǒng)時(shí)系統(tǒng)返回二維碼頁面，并定時(shí)更新二維碼。用戶需下載掃碼APP，通過該特定APP掃描二維碼并確認(rèn)登錄。該登錄方式安全可靠，無需記憶特定密碼，操作簡(jiǎn)便。

1.4各登錄方式缺點(diǎn)分析

賬號(hào)密碼登錄：用戶的賬號(hào)和密碼很容易被竊取、破解，安全性較低。若用戶擁有多個(gè)賬號(hào)，則需要設(shè)置多個(gè)密碼，不便于記憶管理。同時(shí)密碼需要定期修改，給使用者帶來了極大的不便。

手機(jī)動(dòng)態(tài)口令：用戶首先需要輸入要接受動(dòng)態(tài)口令的手機(jī)，然后在界面輸入手機(jī)收到的動(dòng)態(tài)密碼，在整個(gè)過程中雖然保證了信息的安全性，但是登錄過程比較繁瑣，需要兩次輸入，達(dá)不到快捷登錄系統(tǒng)的要求。

掃碼登錄：用戶需要額外下載APP，登錄過程對(duì)網(wǎng)絡(luò)依賴大。在某些特定場(chǎng)合需內(nèi)外網(wǎng)穿墻。

因此本文提出了一種更加安全快捷的“便攜式身份認(rèn)證控制裝置（IAC）”無密碼登錄技術(shù)。

2 “便攜式身份認(rèn)證控制裝置（IAC）”技術(shù)分析

由于人體具有人體所固有的不可復(fù)制的唯一性，這一生物秘鑰無法被復(fù)制、失竊或遺忘，利用生物識(shí)別進(jìn)行身份認(rèn)定具有安全、可靠、準(zhǔn)確等特性，從而不必?cái)y帶大量鑰匙、記憶復(fù)雜的密碼、頻繁的修改身份信息，讓身份認(rèn)證變得簡(jiǎn)單、輕松且更加可靠。

但是在系統(tǒng)內(nèi)部，生物識(shí)別信息被轉(zhuǎn)換成電子信息，在傳輸、存儲(chǔ)和使用的過程中，可能會(huì)被攔截、轉(zhuǎn)移、甚至偽造對(duì)信息系統(tǒng)進(jìn)行攻擊，于是在認(rèn)證控制器的設(shè)計(jì)中，采用了證書和指紋的聯(lián)合認(rèn)證方式，而且數(shù)據(jù)設(shè)計(jì)采用了校驗(yàn)數(shù)據(jù)和用戶數(shù)據(jù)分離傳輸?shù)脑O(shè)計(jì)方式。

2.1關(guān)健技術(shù)點(diǎn)

（1）如何將生物信息轉(zhuǎn)換為電子信息

指紋識(shí)別：便攜式身份認(rèn)證控制裝置（IAC）是一種復(fù)合型身份認(rèn)證驗(yàn)證技術(shù)。其U-KEY硬件能夠識(shí)別用戶指紋，通過算法，可將不同指紋轉(zhuǎn)信息換為的電子數(shù)據(jù)存儲(chǔ)。

（2）如何保證指紋信息與用戶賬號(hào)對(duì)應(yīng)

賬號(hào)綁定：每個(gè)U-KEY具有唯一的標(biāo)識(shí)碼。通過賬號(hào)綁定功能，用戶可將U-KEY與對(duì)應(yīng)賬號(hào)綁定。其不同的key就代表了不同的賬號(hào)。

（3）如何保證數(shù)據(jù)安全

U-KEY內(nèi)置有數(shù)字證書，其指紋數(shù)據(jù)也經(jīng)過國(guó)密算法加密，為安全提供雙重保障。其與服務(wù)器通信也是基于CAS、OAUTH、OPENID等開放協(xié)議的技術(shù)手段，實(shí)現(xiàn)可信身份認(rèn)證聯(lián)合體系解決方案。

2.2安全設(shè)計(jì)

（1）主機(jī)和網(wǎng)絡(luò)安全

功能按三級(jí)等保要求設(shè)計(jì)，操作系統(tǒng)、Web中間件、數(shù)據(jù)庫(kù)進(jìn)行安全掃描和基線配置核查，修復(fù)系統(tǒng)漏洞和配置不合規(guī)項(xiàng)。

（2）數(shù)據(jù)安全

應(yīng)用服務(wù)不存儲(chǔ)企業(yè)機(jī)密信息和用戶隱私數(shù)據(jù)。指紋數(shù)據(jù)采用國(guó)密加密，U-KEY使用證書保證安全通信，重要數(shù)據(jù)傳輸采用SSL協(xié)議結(jié)合SM2、SM3、SM4國(guó)密算法進(jìn)行加密傳輸和數(shù)字簽名。

（3）業(yè)務(wù)安全

通過用戶信息脫敏設(shè)計(jì)，U-KEY認(rèn)證與應(yīng)用系統(tǒng)認(rèn)證為兩套完全獨(dú)立的認(rèn)證體系，且必須U-KEY認(rèn)證通過后才可進(jìn)行系統(tǒng)認(rèn)證。

3 “便攜式身份認(rèn)證控制裝置（IAC）”技術(shù)方案

便攜式身份認(rèn)證控制裝置（IAC）針對(duì)指紋KEY識(shí)別和數(shù)字證書技術(shù)，建立自然人到機(jī)器的互信通道。同時(shí)在軟件上，IAC作為第三方證書可信驗(yàn)證，建立了從機(jī)器到后端服務(wù)的互信通道。以此從人-機(jī)器-服務(wù)建立了充分的互信機(jī)制，保證了信息的安全性和可靠性。

用戶先使用U-KEY錄入指紋，再將系統(tǒng)賬號(hào)與U-KEY綁定。用戶登錄時(shí)系統(tǒng)會(huì)自動(dòng)判斷該U-KEY綁定的賬號(hào)。技術(shù)方案架構(gòu)如圖1所示：

圖1 技術(shù)方案架構(gòu)

大致步驟如下：

（1）借助第三方的硬件設(shè)備指紋U-KEY，驗(yàn)證用戶指紋信息，建立自然人-機(jī)器的互信通道；

（2）指紋驗(yàn)證通過，由U-KEY-CLIENT發(fā)起證書校驗(yàn)請(qǐng)求，CA-SERVER證書服務(wù)器對(duì)證書進(jìn)行合法性校驗(yàn)，生成校驗(yàn)信息。建立U-KEY對(duì)應(yīng)的證書可信通道；

（3）根據(jù)校驗(yàn)信息，由CLIENT發(fā)起用戶數(shù)據(jù)校驗(yàn)，IAC-SERVER返回用戶數(shù)據(jù)校驗(yàn)信息。建立證書到用戶數(shù)據(jù)的可信通道；

（4）由CLIENT發(fā)起認(rèn)證請(qǐng)求，GATE-SERVER根據(jù)用戶數(shù)據(jù)校驗(yàn)信息與IAC-SERVER建立數(shù)據(jù)互信通道，獲取用戶數(shù)據(jù)，用于認(rèn)證服務(wù)；

（5）GATE-SERVER返回到信息系統(tǒng)指定地址，并進(jìn)行一系列登錄操作，并跳轉(zhuǎn)到指定頁面。

4 總結(jié)

本文的重點(diǎn)是將用戶信息與生物信息相結(jié)合，通過U-KEY進(jìn)行認(rèn)證登錄。在客戶端只保留校驗(yàn)信息而不是源生數(shù)據(jù)信息。三段式校驗(yàn)信息的互信，建立了從自然人-機(jī)器-服務(wù)的全程可信通道，防止了中途的數(shù)據(jù)篡改，用戶信息得到了充分的保護(hù)。

[1]程元斌.基于指紋信息的身份認(rèn)證系統(tǒng)的研究[D].江漢大學(xué)數(shù)學(xué)與計(jì)算科學(xué)學(xué)院，2006.

[2]https://wenku.baidu.com/view/26f993e0561252d380eb6e9f.html.

[3]韓偉紅.指紋自動(dòng)識(shí)別系統(tǒng)中的預(yù)處理技術(shù)[J].計(jì)算機(jī)研究與發(fā)展，1997.

[4]田捷，楊鑫.生物特征識(shí)別技術(shù)理論與應(yīng)用[M].電子工業(yè)出版社，2005.